Disattivare le risposte di ricorsione sui server DNS pubblici su IP Internet casuali - ovvero chiudere il buco del "resolver aperto" - NON attenuarlo perché è ancora possibile effettuare un attacco di riflettore / amplificazione DNS falsificato semplicemente inviando query che risultano in una "scatola" Ti diamo una risposta "risposta, che può ancora essere molto più grande della query in arrivo.
È davvero necessario utilizzare alcune combinazioni di misure limitative della risposta o a monte come menzionato in precedenza. Tecnicamente è possibile utilizzare il filtraggio in uscita per bloccare i pacchetti in uscita originati su un diverso collegamento / interfaccia rispetto alla rotta verso la destinazione falsificata, ma su reti semplici (cioè con un unico collegamento Internet) che non è fattibile.
Ecco un vecchio white paper che illustra alcune altre misure di mitigazione, come l'uso dei conteggi hop del pacchetto per indovinare la legittimità di un pacchetto in entrata:
link
Ma ovviamente il filtraggio e le risposte limitative della velocità al "punto di riflettore" non attenuano ancora il grande flusso di pacchetti in entrata che viene diretto al server DNS. Risparmia il target previsto dall'essere DDoS dal tuo server DNS e il tuo server DNS da impantanarsi con traffico spazzatura.